Sicherheitsherausforderungen und Best Practices für das Internet der Dinge

Was ist IoT-Sicherheit?

Sicherheit für das Internet der Dinge bedeutet, Internet-fähige Geräte und die Netzwerke, mit denen sie verbunden sind, vor Online-Bedrohungen und Datenschutzverletzungen zu schützen. Durch die Identifizierung, Überwachung und Behebung möglicher Sicherheitslücken auf allen Geräten lässt sich die IoT-Sicherheit erhöhen. Einfach ausgedrückt geht es um praktische Maßnahmen, um IoT-Systeme sicherer zu machen.

Warum ist IoT-Sicherheit so wichtig?

Das IoT betrifft nicht nur um Computer und Smartphones. Nahezu jedes Gerät mit einem Ein/Aus-Schalter kann mit dem Internet verbunden und so ein Teil des Internets der Dinge werden. Die "Dinge“, aus denen das IoT besteht, sind mittlerweile zahlenmäßig so umfangreich und vielfältig geworden, dass zwangsläufig auch beträchtliche Mengen an Nutzerdaten involviert sind. Denn alle diese Daten können von Cyberkriminellen abgegriffen oder gehackt werden. Je mehr Geräte miteinander verbunden sind, desto mehr Möglichkeiten haben Cyberkriminelle, die Sicherheitsmaßnahmen zu umgehen. Wie das Internet der Dinge im Detail funktioniert, erfahren Sie hier.

IoT-Sicherheitsverletzungen können erheblichen Schaden anrichten. Das liegt in erster Linie daran, dass das Internet der Dinge sowohl virtuelle als auch physische Systeme umfasst. Cyberkriminelle könnten beispielsweise ein mit intelligenter Technik ausgestattetes Auto, das mit dem Internet verbunden ist, hacken, um bestimmte Sicherheitsfunktionen zu deaktivieren. Mit der zunehmenden Verbreitung des IoT in der Industrie – auch als IIoT oder Industrial Internet of Things bezeichnet – können Cyberangriffe verheerenden Folgen haben. Gleiches gilt für das Gesundheitswesen, wo man vom IoMT oder dem Internet der medizinischen Dinge spricht. Über entsprechend ausgestattete medizinische Geräte könnten sensible Patientendaten in die falschen Hände geraten, mit erheblichen Folgen für die Patienten selbst. Im Smart Home könnten Kriminelle über gehackte Geräte die Häuser ihrer Opfer überwachen.

Sicherheitsrisiken für das IoT

Herausforderungen für das IoT und die wichtigsten Sicherheitsbedenken gegenüber dem IoT:

Mangelnde Prüfung und Entwicklung

Um ihre Produkte möglichst schnell auf den Markt bringen zu können, haben einige IoT-Hersteller die Sicherheit hintangestellt. Gerätebezogene Sicherheitsrisiken konnten so im übereilten Entwicklungsprozess übersehen werden und wurden auch nach der Markteinführung nicht per Sicherheitsupdate bereinigt. Mit dem zunehmenden Bewusstsein für die IoT-Sicherheit hat sich jedoch auch die Sicherheit der Geräte verbessert.

Brute-Force-Angriffe als Folge voreingestellter Standardpasswörter

Viele IoT-Geräte werden mit Standardpasswörtern ausgeliefert, die oft auch noch schwach sind. Und den meisten Kunden ist nicht bewusst, dass sie die Passwörter ändern können (und sollten). Schwache Passwörter und Anmeldedaten machen IoT-Geräte anfällig für Passwort-Hacking und Brute-Force-Angriffe.

IoT-Malware und -Ransomware

Mit der rasant steigenden Zahl von IoT-Geräten in den vergangenen Jahren, einem Trend, dessen Ende noch nicht absehbar ist, steigt auch das Risiko von Malware und Ransomware. Dabei gehören IoT-Botnets zu den am häufigsten auftretenden Varianten.

Bedenken hinsichtlich des Datenschutzes

IoT-Geräte erfassen, übertragen, speichern und verarbeiten Nutzerdaten in erheblichem Umfang. Häufig könnten diese Daten an Dritte weitergegeben oder weiterverkauft werden. Die Annahme der Nutzungsbedingungen ist zwar vorgeschrieben, bevor der Nutzer sein IoT-Gerät einsetzt, aber die wenigsten machen sich die Mühe, diese durchzulesen, so dass häufig nicht klar ist, was mit den Daten geschieht.

Eskalierte Cyberangriffe

Infizierte IoT-Geräte können für verteilte Denial-of-Service-Angriffe (DDoS) genutzt werden. Dabei werden die vereinnahmten Geräte als Ausgangsbasis verwendet, um weitere Rechner zu infizieren oder schädliche Aktivitäten zu verbergen. DDoS-Angriffe auf IoT-Geräte betreffen zwar häufiger Unternehmen, können aber auch Smart Homes ins Visier nehmen.

Unsichere Schnittstellen

Zu den häufigen Problemen an den IoT-Geräteschnittstellen gehören schwache oder fehlende Verschlüsselung oder unzureichende Datenauthentifizierung.

Arbeiten im Homeoffice

Infolge der Corona-Pandemie hat die Fernarbeit weltweit zugenommen. Zwar konnten viele Nutzer dank IoT-Geräten von zu Hause aus zu arbeiten, aber Heimnetzwerke sind in der Regel weniger gut abgesichert als Unternehmensnetzwerke. Der erhöhte Einsatz dieser Geräte hat deutlich gemacht, welche erheblichen Lücken in der IoT-Sicherheit bestehen.

Komplexe Umgebungen

Untersuchungen zeigen, dass es in einem durchschnittlichen Haushalt in den USA im Jahr 2020 rund 10 vernetzte Geräte gab. Nur eine übersehene fehlerhafte Konfiguration in einem einzigen Gerät genügt, um das gesamte Heimnetzwerk in Gefahr zu bringen.

Beispiele für IoT-Sicherheitsverletzungen

In den letzten Jahren sind eine ganze Reihe von Fällen bekannt geworden, in denen IoT-Geräte von Cyberkriminellen gehackt wurden. Zum Beispiel:

2016: Mirai-Botnet

Im Jahr 2016 wurden Hunderttausende von vernetzten Geräten gehackt und in ein Botnet namens Mirai aufgenommen. Ein Botnet ist ein Netzwerk von Computern, die gezielt mit Malware infiziert wurden, damit sie ohne Zustimmung oder Wissen der Eigentümer automatisierte Aufgaben im Internet ausführen. Im Zuge des Mirai-Angriffs wurden wichtige Dienste und Webseiten wie Spotify, Netflix und PayPal vorübergehend abgeschaltet.

2018: VPNFilter-Malware

Im Jahr 2018 infizierte die VPNFilter-Malware über eine halbe Million Router in mehr als 50 Ländern. Diese Malware installiert auf Geräten, die mit Ihrem Router verbunden sind, eine weitere Malware, die Informationen abgreift, den Netzwerkverkehr blockiert und Passwörter stiehlt.

2020: Tesla Model X geknackt

Über eine Sicherheitslücke in der Bluetooth-Schnittstelle konnte sich ein Cybersicherheitsexperte in weniger als zwei Minuten in ein Tesla Model X-Auto hacken. Ähnliche Angriffe gab es auch auf andere Fahrzeugen, die zum Öffnen und Starten auf Schlüsselanhänger mit Funkverbindung angewiesen sind.

2021: Erfolgreicher Hack gegen Sicherheitskameras von Verkada

Verkada stellt Überwachungskameras her. Im Jahr 2021 verschafften sich Schweizer Hacker Zugang zu den Live-Datenfeeds von 150.000 Kameras des Unternehmens. Dabei handelte es sich um Überwachungskameras an öffentlichen Gebäuden wie Schulen, Krankenhäuser und Gefängnissen sowie in Privatunternehmen.

Best Practices für die IoT-Sicherheit

Um die Sicherheit von IoT-Geräten und IoT-Netzwerken zu gewährleisten, sollten Sie sich an die folgenden Best Practices halten:

Regelmäßige Geräte- und Software-Updates

Achten Sie beim Kauf eines IoT-Geräts darauf, dass der Anbieter Updates bereitstellt, und installieren Sie sie, sobald sie verfügbar sind. Software-Updates leisten einen wesentlichen Beitrag zur Sicherheit von IoT-Geräten. Geräte mit einer veralteten IoT-Software sind für Hacker leichter zu knacken. Es kann sein, dass Ihr IoT-Gerät sich automatisch aktualisiert, falls nicht, müssen Sie auf der Webseite des Herstellers danach suchen.

Ändern der Standardpasswörter auf IoT-Geräten

Viele Benutzer verwenden auf jedem Gerät dieselben Anmeldedaten. So lassen sich die Passwörter zwar einfacher merken, aber auch Cyberkriminelle haben es so leichter. Verwenden Sie für jedes Gerät andere Anmeldedaten und ändern Sie bei neuen Geräten immer das Standardpasswort. Verwenden Sie nach Möglichkeit nicht dasselbe Passwort für unterschiedliche Geräte.

Sichere Passwörter für alle Geräte und das WLAN-Netz

Ein sicheres Passwort ist lang – mindestens 12 Zeichen, idealerweise länger – und besteht aus einem bunten Mix von Zeichen, also Groß- und Kleinbuchstaben plus Sonderzeichen und Zahlen. Vermeiden Sie offensichtliche Passwörter wie Zahlenfolgen („1234“) oder persönliche Angaben, die jemand, der Sie kennt, leicht erraten kann, wie das Geburtsdatum oder den Namen eines Haustiers. Mit einem Passwort-Manager behalten Sie den Überblick über die verschiedenen Anmeldedaten.

Neuer Name für den Router

Anhand des standardmäßigen Routernamens lässt sich die Marke oder das Modell Ihres Routers leicht identifizieren. Deshalb sollten Sie den Namen ändern, aber dabei keine persönlichen Daten verwenden, die Rückschlüsse auf Sie zulassen, wie Ihr Namen oder Ihre Anschrift.

Starke WLAN-Verschlüsselungsmethode

Mit einer starken Verschlüsselungsmethode – d. h. WPA2 oder höher – können Sie Ihr Netzwerk und Ihre Kommunikation wirksam schützen. Die älteren Versionen, WPA und WEP, bieten weniger Sicherheit vor Brute Force-Angriffen. Weitere Informationen zu den unterschiedlichen WPA-Versionen finden Sie hier.

Einrichtung eines Gastzugangs

Wenn Ihr Router diese Option anbietet, sollten Sie in Erwägung ziehen, einen Gastzugang einzurichten, der ebenfalls über WPA2 oder 3 und mit einem sicheren Passwort geschützt ist. Nutzen Sie dieses Netzwerk für Gäste: Freunde und Familienangehörige könnten Geräte verwenden, die zuvor manipuliert wurden oder mit Malware infiziert sind. Ein Gastzugang hilft, die Sicherheit des Heimnetzwerks insgesamt zu erhöhen.

Datenschutzeinstellungen Ihrer IoT-Geräte

Ihre IoT-Geräte werden wahrscheinlich mit den Standardeinstellungen für Datenschutz und Sicherheit ausgeliefert. Diese sollten Sie durchlesen und die Einstellungen gegebenenfalls anpassen, um sicherzustellen, dass sie auf eine Schutzstufe eingestellt sind, mit der Sie gut leben können. Genauso lohnt es sich, die Datenschutzrichtlinien zu lesen und sich anzuschauen, wie der Anbieter Ihre persönlichen Daten speichert und verwendet.

Überprüfen Sie verfügbare Funktionen und deaktivieren Sie ungenutzte

Finden Sie heraus, welche Funktionen auf den Geräten verfügbar sind, und deaktivieren Sie Features, die nicht benötigt werden oder eine potenzielle Sicherheitslücke darstellen. Nehmen wir zum Beispiel eine Smartwatch: ihr Hauptzweck ist es, die Zeit anzuzeigen. Sie wird aber vermutlich auch Bluetooth, Near-Field Communication (NFC) oder Sprachsteuerung verwenden. Wenn Sie diese Funktionen sowieso nicht nutzen, bieten Sie einem IoT-Hacker unnötigerweise mehr Möglichkeiten, in das Gerät einzudringen. Eine Deaktivierung dieser Funktionen senkt das Risiko von Cyberangriffen.

Aktivierung der Multifaktor-Authentifizierung (falls möglich)

Bei der Multifaktor-Authentifizierung (MFA) handelt es sich um eine Authentifizierungsmethode, bei der sich Nutzer mindestens zweimal authentifizieren müssen, um auf ein Online-Konto zuzugreifen. Neben dem Benutzernamen oder einem Passwort werden bei der Multifaktor-Authentifizierung zusätzliche Informationen abgefragt, wie z. B. ein Einmalpasswort, das der Authentifizierungsserver einer Webseite an das Telefon oder die E-Mail-Adresse des Nutzers sendet. Wenn Ihre smarten Geräte MFA anbieten, sollten Sie sie auch nutzen.

Überblick über die IoT-Geräte in Ihrem Heimnetzwerk

Prüfen Sie bei allen Geräten, welche davon über Ihr Netzwerk kommunizieren und was genau dabei geschieht. Bei einigen dieser Geräte handelt es sich möglicherweise um ältere Modelle. Überlegen Sie, ob ein Upgrade auf neuere Geräte mehr IoT-Sicherheitsfunktionen bieten könnte.

Vorsicht bei der Einwahl in ein öffentliches WLAN

Vielleicht möchten Sie Ihre IoT-Geräte von unterwegs über Ihr Mobilgerät verwalten – zum Beispiel in einem Café, einem Einkaufszentrum oder am Flughafen. Machen Sie sich bewusst, welche Sicherheitsrisiken mit der Nutzung von öffentlichen WLAN-Netzen verbunden sind. Eine Möglichkeit, diese Risiken zu umgehen, besteht in der Verwendung eines VPN.

Risiken lassen sich minimieren, wenn Sie bei der Nutzung von IoT-Geräten die Sicherheit stets im Auge behalten und sich an die Best Practices für die IoT-Sicherheit halten.

Produktempfehlungen

• Kaspersky Anti-Virus
• Kaspersky Total Security
• Kaspersky Internet Security
• Kaspersky Password Manager
• Kaspersky Secure Connection

Weitere Artikel

• Sicherheit für Ihr Heimnetzwerk
• IoT-Gerätesicherheit im Smart Home
• Ransomware-Schutz: Effektiver Schutz für Ihre Daten in 2024
• Arten von Ransomware-Angriffen